Servicio para la Evaluación de Impacto

Evaluación de Impacto en la Protección de Datos Personales

 

Muchos de vosotros nos habréis oído a muchos profesionales de la privacidad, hablar del PIA o de la Evaluación de Impacto en la protección de datos, pero ¿qué es exactamente y qué finalidad tiene?

 

Pues bien, la finalidad de un PIA es establecer, con carácter previo a la realización de un tratamiento o proyecto de tratamiento, cuales son las líneas del mismo, cuáles son sus riesgos y cómo debe abordarse la seguridad de ese tratamiento en base a la normativa general y sectorial.

 

Se aplicará sobre aquellos tratamientos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados.

 

Tal y como expone la AEPD en su guía de evaluaciones de impacto ese carácter previo implicará que la obligación reglamentaria no se extiende a las operaciones de tratamiento que ya estén en curso en el momento en que el RGPD comience a ser de aplicación obligatoria.

 

Actualmente esta valoración se hace a través de la Auditoría; un proceso realizado a posteriori, es decir, cuando el tratamiento ya está diseñado. Lo que implica que, si se producen cambios en el diseño, éste no se ajuste a la  normativa de privacidad, implicando costes de reorganización y diseño para las empresas.

 

Es por ello, que el RGPD, propone a los profesionales de la privacidad, la realización de un PIA. De manera que, si se realiza de manera correcta y se realimenta, se podrán mejorar significativamente los resultados de una auditoría.

 

Una cuestión importante y novedosa, será el establecimiento de relaciones con agentes externos a la organización. Se trata de dar al profesional de la privacidad la perspectiva de este agente externo, que le permita evaluar, cómo trabajan en sus organizaciones con la privacidad. En materia de responsabilidad social corporativa, esto se conoce como stakeholder o grupos de interés.

 

 

¿Por qué hacer un PIA?

 

Las organizaciones deben prevenir una gran variedad de riesgos que afectan o pueden afectar a la seguridad y la privacidad de los datos que manejan habitualmente, desde los desastres naturales, casi nunca contemplados, hasta los ciber-ataques, pasando por muchos otros. 

 

“La gestión de problemas” se convierte así en una actividad común basada en la planificación de contingencias.

La reputación y el buen gobierno de las empresas es un activo fundamental que debe de acatarse con responsabilidad. En especial cuestiones tan fundamentales como la privacidad, ya que una vez producido el daño será muy difícil recuperar la confianza de los grupos de interés, pudiendo verse comprometida la viabilidad de la empresa.

 

Para muchas organizaciones, la privacidad plantea riesgos que deben ser gestionados profesionalmente de una manera similar a otras categorías de riesgo. Las organizaciones que manejan datos de carácter personal deben supervisar sus operaciones en curso, ya que están tratando con clientes, empleados o el público en general y esos tratamientos pueden afectar a derechos fundamentales.

 

En resumen, las razones por las que una organización debe lleva a cabo un PIA son los siguientes:   

  • La Identificación y gestión de riesgos con carácter previo al inicio de la actividad o tratamiento.
  • Evitar gastos innecesarios ya que una vez desarrollado el tratamiento, en caso de no cumplir normativamente, será necesario un rediseño y una adaptación a lo que ya existe, generándose con esto problemas y soluciones inadecuadas.
  • Evitar errores en el diseño inicial
  • Evitar la pérdida de la confianza y la reputación de la empresa. Elemento que podría comprometer la viabilidad de la empresa y dañar su imagen.
  • Informar adecuadamente sobre la estrategia a seguir a toda la organización, haciendo partícipes en el diseño a los grupos de interés.
  • Satisfacer y exceder los requisitos legales. Intentar conseguir cuotas de cumplimiento por encima de los mínimos legales exigidos para reforzar la posición de la empresa, frente a sus interesados y diferenciarse de la competencia.
  • Otra razón de peso  y no menos importante para realizar una PIA en la empresa, es la nueva normativa europea en materia de privacidad y protección de datos. Esta nueva normativa europea, obliga a las empresas a realizar esta evaluación de impacto . Fijando una serie de criterios para su realización, basados en los tratamientos llevados a cabo en la organización, de manera que , prácticamente todos los sectores y organizaciones vendrán obligadas a hacerlo. Eso sí, no será lo mismo hacer un PIA en un tratamiento de clientes de un autónomo, que en un tratamiento de pacientes de un hospital.

 

 ¿Cuáles son los resultados finales de un proceso de PIA eficaz?

 

Lo ideal sería que los resultados finales de un PIA efectivo fuesen:

  • La identificación de los impactos de privacidad de proyecto.
  • La apreciación de los impactos desde la perspectiva de todos los interesados.
  • Una comprensión de la aceptabilidad del proyecto y de sus características por las organizaciones y personas que se verán afectados por ella, mediante información clara y commprensible.
  • Identificación y evaluación de alternativas menos invasivas de la privacidad.
  • Identificación de las formas en que se pueden evitar los impactos negativos en la vida privada.
  • Identificación de las formas de reducir los impactos negativos en la vida privada en aquellos tratamientos en los que sean inevitables.,
  • Claridad, justificación, documentación y publicación de los resultados.

El enfoque más beneficioso y rentable puede ser de concebir de la PIA como:

  • Un proceso cíclico;
  • Vinculada a su propio ciclo de vida del proyecto, y
  • Re-visitado en cada nueva fase del proyecto

 

¿Quién debe llevar a cabo un PIA?

 

Las ventajas de emplear a un consultor externo, se basan fundamentalmente en los criterios de independencia, imparcialidad y objetividad pudiendo de esta manera el consultor, trabajar con total autonomía y libre de impedimentos y/o influencias externas.

Por su parte la dirección, el responsable de los ficheros, el responsable de seguridad, el responsable de los servicios de información y comunicación, los responsables de calidad, los usuarios con acceso a datos, los interesados y los encargados del tratamiento deberán participar activamente junto con el consultor externo para ofrecer la mayor información posible sobre los tratamientos en todas las fases del proyecto. Haciéndose absolutamente necesaria la colaboración entre todos los sujetos que intervienen en el tratamiento de la información.